複数の ISAKMP 実装に脆弱性 4
ストーリー by yoosee
意外なところに穴が 部門より
意外なところに穴が 部門より
tamo曰く、"Slashdot 本家の記事 VPN Flaw Allows Denial of Service
によると、
フィンランドの Oulu University Secure Programming Group (OUSPG) はネットワーク機器で利用されるプロトコル ISAKMP のテストスイート PROTOS を開発し、
複数の IKEv1 実装に脆弱性を発見したそうです
(NISCC Vulnerability Advisory 273756/NISCC/ISAKMP)。
この脆弱性は VPN などでも重要部分に関係し、Cisco は自社製品への影響 (少なくとも一時的な DoS) を
認めているようです。
ベンダには 7 月に知らされていたようなので、それ以降のソフトウェアでは修正されている場合が多いようです。
例えば OpenBSD では
2004 年前半に自分で修正していたらしいですし、Juniper でも 7月28日以降出荷版のソフトでは対応済みとのことです。ご自分への影響をよくご確認ください。"
私には (スコア:3, 参考になる)
ここ [hatena.ne.jp]に具体的な対処法が書かれていますので、影響を受ける人は参考にしてみては。
ようやく、という感じ (スコア:3, 参考になる)
「不正な内容のパケットを受け取ったときに異常な状態になる」というもので、
脆弱性として目新しいものではないようです。
が、いわゆるPKIプロダクトに関して報告されたということで、
「ようやくPKIプロダクトもアタックの対象として、普通のプロダクト並みに注目され始めたのかな」
という印象を受けました。
以下、蛇足。
Vendor Informationを確認しようとしたら、CiscoとSunはちゃんと見れたけど、
Checkpointはユーザ登録が必要で、EntrustはJavaが必要なようだ。
Advisory位はなんの障壁もなく閲覧できるようにして欲しいなあ。
あと、SSH社と国内のベンダー(三菱とか古河とか)に関しては記載がないけど、
そっちはどうなんだろうなあ。
リンクだけですが (スコア:3, 参考になる)
- ISAKMP プロトコルの実装に複数の脆弱性 [jvn.jp]
- セキュリティ・プロトコルの実装に脆弱性,複数ベンダーのvpn製品が影響を受ける [nikkeibp.co.jp]
- セキュリティプロトコル「isakmp」に脆弱性--シスコやジュニパーの製品にも影響 [cnet.com]
- 「ISAKMP」プロトコルの脆弱性見つかる--多数のネットワーク機器にDoS攻撃のおそれ [zdnet.com]
- VPN製品にDoS攻撃の脆弱性 [itmedia.co.jp]
「やっぱり日本語だと分かり易いな」と思ったり。orz (スコア:0)